我想知道是否有人可以就如何以最佳方式重定向内部网络中单个主机的多个端口提供最佳实践建议。
据我了解,每个对象只能进行单个端口的 nat。这导致配置有点混乱,因为我必须为同一主机 (IP) 指定单个对象来重定向单个端口。
它看起来如下:
object network ratatouille-4569
nat (inside,outside) static interface service udp 4569 4569
object network ratatouille-ssh
nat (inside,outside) static interface service tcp ssh ssh
现在这种方法有几个明显的问题(特别是如果你有更复杂/更多的规则)例如。 如果您需要更改内部主机的 IP 地址,您必须对每个对象单独执行此操作。
在这种特定情况下,我有 7 个端口可以重定向到该特定主机。
我将非常感激有关如何做到这一点的最佳实践的任何建议。
答案1
这是不可能的。您需要手动指定每个映射端口,或者为所有 TCP / UDP 端口设置常规静态 NAT:
object network ratatouille
nat (inside,outside) static interface
答案2
...并使用分配给外部接口的 ACL 来控制所需端口
access-list ratatouille-port-control permit tcp any host ratatouille.inside.IP eq 22 access-list ratatouille-port-control permit tcp any host ratatouille.inside.IP eq 4569 access-list ratatouille-port-control permit tcp any host ratatouille.inside.IP eq 8080 access-group ratatouille-port-control outside in